Kas tie GDPR reikalavimai ir kodėl jie svarbūs kameroms?
Kai prieš kelerius metus įsigaliojo GDPR (Bendrasis duomenų apsaugos reglamentas), daugelis žmonių pagalvojo, kad tai dar vienas biurokratinis dokumentas iš Briuselio. Tačiau realybė yra daug įdomesnė – šis reglamentas iš esmės pakeitė tai, kaip galime naudoti išmaniąsias kameras namuose, biuruose ar parduotuvėse.
Išmaniosios kameros šiandien yra daug daugiau nei tik įrašymo įrenginiai. Jos atpažįsta veidus, seka judėjimą, siunčia pranešimus į telefoną, kai kas nors priartėja prie jūsų durų. Kai kurios net gali analizuoti žmonių elgesį ar skaičiuoti lankytojų srautus. Visa ši informacija patenka į asmens duomenų kategoriją, o tai reiškia, kad GDPR čia įsijungia automatiškai.
Lietuvoje šiuos reikalavimus prižiūri Valstybinė duomenų apsaugos inspekcija (VDAI), ir ji nėra linkusi žiūrėti pro pirštus. Per pastaruosius metus baudos už netinkamą vaizdo stebėjimą išaugo kelis kartus. Žmonės tampa vis labiau sąmoningi dėl savo privatumo, todėl net mažas pažeidimas gali baigtis ne tik bauda, bet ir reputacijos praradimu.
Kada jūsų kamera tampa duomenų tvarkymo įrankiu
Ne kiekviena kamera automatiškai reiškia GDPR pažeidimą. Jei filmavote savo sodybos vidų ir niekas kitas nepateko į kadro lauką – viskas tvarkoje. Problema prasideda tada, kai kamera užfiksuoja kitus žmones: kaimynus, praeivius, darbuotojus ar klientus.
Įdomu tai, kad net jei jūsų kamera nukreipta į savo kiemą, bet ji užfiksuoja gatvę ar kaimyno teritorijos dalį, jau esate duomenų valdytojas pagal GDPR. Tai reiškia, kad turite laikytis visų reikalavimų: informuoti žmones apie filmavimą, turėti teisėtą pagrindą, saugoti įrašus tik tam tikrą laiką ir užtikrinti duomenų saugumą.
Verslo atveju situacija dar sudėtingesnė. Jei parduotuvėje įrengiate kameras su veido atpažinimo funkcija ar klientų elgsenos analize, privalote ne tik informuoti apie tai, bet ir gauti aiškų sutikimą. Čia jau kalbame apie biometrinius duomenis – ypatingą asmens duomenų kategoriją, kuriai taikomi griežčiausi reikalavimai.
Kokie konkretūs reikalavimai taikomi Lietuvoje
Pirmiausia – informavimas. Privalote aiškiai nurodyti, kad teritorija yra stebima. Tai reiškia ne kokį nors mažą lipduką, kurį reikia ieškoti su lupa, o aiškų, matomą ženklą. Lietuvoje nusistovėjo praktika naudoti standartizuotus lipduką su kameros piktograma ir pagrindiniais duomenimis.
Ant šio ženklo turi būti nurodyta: kas vykdo filmavimą (jūsų vardas, pavardė ar įmonės pavadinimas), filmavimo tikslas, kontaktiniai duomenys ir nuoroda, kur galima rasti išsamesnę informaciją. Jei tai verslui skirta kamera, paprastai pridedamas QR kodas, vedantis į privatumo politiką.
Antra – duomenų saugojimo terminas. VDAI rekomenduoja saugoti įrašus ne ilgiau nei 30 dienų, nebent turite pagrįstą priežastį juos laikyti ilgiau. Pavyzdžiui, jei įvyko vagystė ir policija tiria įvykį, galite laikyti įrašus ilgiau, bet tik tol, kol jie reikalingi tyrimui.
Trečia – prieigos kontrolė. Ne visi darbuotojai ar šeimos nariai gali turėti prieigą prie įrašų. Turėtumėte aiškiai apibrėžti, kas ir kokiomis aplinkybėmis gali peržiūrėti vaizdo medžiagą. Tai ypač aktualu versle, kur dažnai keletas žmonių turi administratoriaus teises.
Techniniai saugumo aspektai
Išmaniosios kameros dažnai yra pažeidžiamos kibernetinėms atakoms. Kinų gamintojų pigios kameros kartais turi įtaisytus „backdoors” – slaptas duris, per kurias gali patekti trečiosios šalys. Tai ne tik saugumo, bet ir GDPR problema, nes privalote užtikrinti, kad asmens duomenys nebūtų prieinami neteisėtiems asmenims.
Pirmiausia pakeiskite gamyklinį slaptažodį. Skamba banaliai, bet dauguma pažeidimų įvyksta būtent dėl to, kad žmonės palieka „admin/admin” ar „12345” kaip prisijungimo duomenis. Naudokite stiprų, unikalų slaptažodį, o dar geriau – dviejų faktorių autentifikavimą, jei kamera tai palaiko.
Antra – reguliariai atnaujinkite programinę įrangą. Gamintojai nuolat taiso saugumo spragas, bet jei nenaudojate naujausios versijos, jūsų kamera lieka pažeidžiama. Kai kurios modernios kameros atsinaujina automatiškai, bet verta tai patikrinti rankiniu būdu.
Trečia – duomenų šifravimas. Jei kamera saugo įrašus debesyje ar siunčia juos per internetą, įsitikinkite, kad duomenys yra šifruojami. Tai turėtų būti nurodyta kameros specifikacijose. Jei nėra – geriau ieškoti kitos kameros, ypač jei planuojate naudoti ją versle.
Darbuotojų stebėjimas – ypatingas atvejis
Darbo vietoje įrengtos kameros yra viena jautriausių GDPR temų Lietuvoje. Darbo kodeksas kartu su GDPR nustato griežtas taisykles, kaip galima stebėti darbuotojus. Paprasčiausiai pasakius – negalite stebėti jų dėl stebėjimo.
Turi būti konkretus, teisėtas tikslas: turto apsauga, darbo saugos užtikrinimas, technologinio proceso kontrolė. Net ir turint tokį tikslą, negalite filmuoti vietų, kur darbuotojai tikisi privatumo – persirengimo kambarių, tualetų, poilsio zonų. Tai atrodo savaime suprantama, bet praktikoje pasitaiko įmonių, kurios bando stebėti ir tokias vietas.
Darbuotojai turi būti informuoti apie stebėjimą dar prieš pradedant dirbti. Tai turėtų būti įrašyta darbo sutartyje ar vidiniuose įmonės dokumentuose. Negalite staiga įrengti kamerų ir tikėtis, kad niekas nesipriešins. Kai kuriose šalyse net reikia darbuotojų sutikimo, nors Lietuvoje pakanka informavimo, jei yra teisėtas pagrindas.
Įdomus niuansas – negalite naudoti kamerų darbuotojų našumui matuoti ar jų kontrolei. Pavyzdžiui, jei stebite, kiek kartų darbuotojas eina į tualetą ar kiek laiko praleidžia prie kavos aparato, tai jau pažeidimas. Kamera turi būti skirta objektyviems tikslams, o ne mikromanagementui.
Kaimynystės santykiai ir kameros
Viena dažniausių problemų Lietuvoje – kaimynų konfliktai dėl kamerų. Įsirengiate kamerą prie įėjimo, o ji užfiksuoja ir kaimyno teritorijos dalį. Kaimynas pasipiktina, grasina skundu VDAI, prasideda nesibaigianti drama.
Teisiškai situacija tokia: jūsų kamera neturėtų filmuoti svetimos privačios teritorijos. Jei tai neišvengiama dėl technologinių priežasčių, turėtumėte naudoti privatumo zonas – daugelis šiuolaikinių kamerų leidžia užmaskuoti tam tikras kadro dalis, kad jos nebūtų įrašomos. Tai gana paprasta funkcija, bet daugelis žmonių apie ją nežino.
Gatvė yra viešoji erdvė, todėl jos filmavimas paprastai leidžiamas, jei tai yra būtina jūsų turto apsaugai. Tačiau negalite nukreipti kameros tiesiog į gatvę be jokios priežasties – turi būti aiškus ryšys su jūsų teisėtu interesu. Pavyzdžiui, jei kamera stebi įvažiavimą į kiemą ir kartu užfiksuoja gatvės dalį, tai priimtina.
Praktinis patarimas: prieš montuodami kamerą, pasikalbėkite su kaimynais. Parodykite, ką kamera mato, paaiškinkite, kodėl jos reikia. Dažniausiai žmonės supranta ir nepriešinasi, jei jaučia, kad jų privatumas yra gerbiamas. Tai išvengs daug problemų ateityje.
Debesų paslaugos ir duomenų perdavimas
Daugelis šiuolaikinių išmaniųjų kamerų saugo įrašus debesyje – Google Drive, iCloud, gamintojo serveriuose. Tai patogu, bet kelia GDPR klausimų, ypač jei duomenys saugomi už Europos Sąjungos ribų.
GDPR draudžia perduoti asmens duomenis į trečiąsias šalis (ne ES valstybes), nebent ta šalis užtikrina pakankamą apsaugos lygį. JAV buvo tokia šalis pagal Privacy Shield susitarimą, bet jis buvo panaikintas. Dabar situacija sudėtingesnė – reikia tikrinti, ar kamera naudoja standartines sutarties sąlygas ar kitus teisinius mechanizmus.
Praktiškai tai reiškia: perskaitykite kameros gamintojo privatumo politiką ir sužinokite, kur saugomi jūsų duomenys. Jei tai kinų ar amerikiečių įmonė, kuri saugo viską savo serveriuose Kinijoje ar JAV, galite turėti problemų. Geriau rinktis gamintojus, kurie naudoja ES esančius duomenų centrus arba leidžia saugoti įrašus lokaliai, jūsų įrenginyje.
Alternatyva – naudoti NAS (Network Attached Storage) arba specialų įrašymo įrenginį namuose. Tai brangesnis sprendimas, bet suteikia visišką kontrolę. Duomenys lieka jūsų teritorijoje, niekas kitas neturi prie jų prieigos. Versle tai beveik būtinybė, jei norite išvengti galvos skausmo su GDPR.
Ką daryti gavus prašymą iš VDAI ar asmens
GDPR suteikia žmonėms daug teisių: teisę žinoti, ar jie filmuojami, teisę gauti įrašų kopiją, teisę reikalauti duomenų ištrynimo. Jei kas nors kreipiasi į jus su tokiu prašymu, privalote reaguoti per vieną mėnesį.
Pavyzdžiui, jei klientas parduotuvėje nori gauti vaizdo įrašą, kuriame jis matomas, privalote jam jį pateikti. Tačiau čia yra niuansas – jei įraše matomi ir kiti žmonės, turite juos užmaskuoti, kad nebūtų pažeista jų privatumas. Tai gali būti techninė problema, todėl verta turėti programinę įrangą, kuri tai leidžia padaryti.
Jei VDAI pradeda tyrimą, situacija tampa rimtesnė. Jie gali pareikalauti pateikti visą dokumentaciją: privatumo politiką, įrašų saugojimo tvarką, techninių saugumo priemonių aprašymą. Jei negalite to pateikti, bauda beveik neišvengiama.
Baudos gali siekti iki 20 milijonų eurų arba 4% metinės apyvartos, priklausomai nuo to, kuri suma didesnė. Praktikoje Lietuvoje baudos paprastai yra mažesnės – nuo kelių šimtų iki kelių tūkstančių eurų, bet tai vis tiek nemalonus išgyvenimas. Be to, VDAI gali įpareigoti nutraukti neteisėtą duomenų tvarkymą, o tai versle gali reikšti kamerų išmontavimą.
Kaip išlikti saugiam ir ramiai miegoti
Geriausias būdas išvengti problemų – veikti proaktyviai. Prieš įsigydami kamerą, pagalvokite, ar ji tikrai reikalinga ir kokiam tikslui. Jei atsakymas aiškus, pasirinkite patikimą gamintoją, kuris rimtai žiūri į duomenų apsaugą.
Įrengę kamerą, pasirūpinkite tinkamu informavimu. Užteks kelių lipduką strateginėse vietose ir paprastos privatumo politikos, kurią galima rasti internetinėje svetainėje. Nereikia samdyti brangių advokatų – VDAI svetainėje yra pavyzdinių dokumentų, kuriuos galite pritaikyti savo situacijai.
Reguliariai peržiūrėkite ir trinkite senus įrašus. Daugelis kamerų leidžia nustatyti automatinį trynimą po tam tikro laikotarpio – naudokite šią funkciją. Tai ne tik atitinka GDPR, bet ir atlaisvina saugyklos vietą.
Jei naudojate kameras versle, verta apsvarstyti duomenų apsaugos pareigūno (DPO) paskyrimo galimybę. Tai nebūtina mažoms įmonėms, bet jei tvarkote daug asmens duomenų ar naudojate sudėtingas stebėjimo sistemas, DPO gali padėti išvengti klaidų ir užtikrinti atitiktį.
Galiausiai – būkite skaidrūs. Jei žmonės žino, kodėl jūs filmuojate ir kaip naudojate duomenis, jie paprastai neprieštarauja. Problemos kyla tada, kai bandoma slėpti ar nutylėti informaciją. GDPR iš esmės yra apie sąžiningumą ir skaidrumą, o ne apie biurokratiją. Jei laikysitės šių principų, išmaniosios kameros taps naudingu įrankiu, o ne galvos skausmu.